Sieciowanie obliczeniowe w GCP w pigułce

VPC zawiera reguły zapory pozwalające na przychodzący ruch do VPC. VPC zawiera również podsieci, w których maszyny wirtualne będą połączone. W porównaniu z AWS, Zapora byłaby najbliższą rzeczą do Grup Zabezpieczeń AWS i NACL, ale w tym przypadku są one zdefiniowane w VPC, a nie w każdej instancji.

VPC, Podsieci i Zapory w GCP

Instancje obliczeniowe są połączone podsieciami, które są częścią VPC (Chmury Prywatnej Wirtualnej). W GCP nie ma grup zabezpieczeń, są zapory VPC z regułami zdefiniowanymi na tym poziomie sieciowym, ale stosowanymi do każdej instancji VM.

Podsieci

VPC może mieć kilka podsieci. Każda podsieć znajduje się w 1 regionie.

Zapory

Domyślnie każda sieć ma dwie domyślne reguły zapory: zezwalaj wychodzący i zabroń przychodzący.

Po utworzeniu projektu GCP, tworzona jest również VPC o nazwie default, z następującymi regułami zapory:

• default-allow-internal: zezwalaj na cały ruch z innych instancji w sieci default

• default-allow-ssh: zezwalaj na 22 z dowolnego miejsca

• default-allow-rdp: zezwalaj na 3389 z dowolnego miejsca

• default-allow-icmp: zezwalaj na ping z dowolnego miejsca

Można utworzyć więcej reguł zapory dla domyślnego VPC lub dla nowych VPC. Reguły zapory można stosować do instancji za pomocą następujących metod:

• Tagi sieciowe

• Konta usług

• Wszystkie instancje w ramach VPC

Niestety, nie ma prostego polecenia gcloud, które wyświetliłoby wszystkie Instancje Obliczeniowe z otwartymi portami w Internecie. Trzeba połączyć punkty między regułami zapory, tagami sieciowymi, kontami usług i instancjami.

Ten proces został zautomatyzowany za pomocą tego skryptu w Pythonie, który wyeksportuje następujące informacje:

• Plik CSV pokazujący instancję, publiczny IP, zezwolone TCP, zezwolone UDP

• Skan nmap, aby zbadać wszystkie instancje na porty przychodzące z publicznego Internetu (0.0.0.0/0)

• Masscan, aby zbadać pełny zakres TCP tych instancji, które zezwalają na WSZYSTKIE porty TCP z publicznego Internetu (0.0.0.0/0)

Hierarchiczne Polityki Zapory

Hierarchiczne polityki zapory pozwalają tworzyć i egzekwować spójną politykę zapory w całej organizacji. Można przypisać hierarchiczne polityki zapory do organizacji jako całości lub do poszczególnych folderów. Te polityki zawierają reguły, które mogą jawnie blokować lub zezwalać na połączenia.

Tworzenie i stosowanie polityk zapory odbywa się jako oddzielne kroki. Można tworzyć i stosować polityki zapory na węzłach organizacji lub folderów w hierarchii zasobów. Reguła polityki zapory może blokować połączenia, zezwalać na połączenia lub przekazywać ocenę reguły zapory do reguł zapory na niższych poziomach zdefiniowanych w sieciach VPC.

Domyślnie wszystkie reguły hierarchicznej polityki zapory stosują się do wszystkich VM w wszystkich projektach w ramach organizacji lub folderu, w którym polityka jest powiązana. Można jednak ograniczyć, które VM otrzymują daną regułę, określając sieci docelowe lub konta usług.

Możesz przeczytać tutaj, jak utworzyć Hierarchiczną Politykę Zapory.

Ocena Reguł Zapory

1. Org: Polityki zapory przypisane do Organizacji

2. Folder: Polityki zapory przypisane do Folderu

3. VPC: Reguły zapory przypisane do VPC

4. Globalne: Inny rodzaj reguł zapory, które można przypisać do VPC

5. Regionalne: Reguły zapory związane z siecią VPC interfejsu sieciowego VM i regionem VM.

Połączenie Sieci VPC

Pozwala na połączenie dwóch sieci Virtual Private Cloud (VPC), dzięki czemu zasoby w każdej sieci mogą się komunikować między sobą. Połączone sieci VPC mogą znajdować się w tym samym projekcie, różnych projektach tej samej organizacji lub różnych projektach różnych organizacji.

Oto wymagane uprawnienia:

• compute.networks.addPeering

• compute.networks.updatePeering

• compute.networks.removePeering

• compute.networks.listPeeringRoutes

Więcej w dokumentacji.

Odnośniki

• https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/

• https://cloud.google.com/vpc/docs/firewall-policies-overview#rule-evaluation